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No final da minha palestra LEIN GZ 


=> As 05 primeiras perguntas ganharão um botton do 
Tux. 


=> Sorteio do curso “Investigação Forense Digital - 427 
(EAD)” 


e Preencha o cupom que está junto ao folheto que você 
recebeu na entrada da palestra; 

e Se você já preencheu, ele já está aqui na urna. 

e O ganhador deve estar presente até o quinto sorteio. Se nao 


estiver presente, ganhará o sexto sorteado. 
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=> O que é um malware? 
* “Malicious software”, é um software indejesado geralmente 


com intenções nada nobres como roubo de informações, 


replicação, comprometimento do sistema etc. 


=> O que é análise de malware? 
* É a técnica de documentar o comportamento de um software 


suspeito sem seu código-fonte. 





Malware no Linux existe? & 
Winter, Winux/Lindose, Diesel, Coin, Mighty, Adore, Slapper, 
Kork, Millen... [1] 


e Existem vários malwares para o sistema do pinguim, mas a 


quantia não é realmente grande se comparada à quantidade de 
malwares para o Janelas. 


e É bom se preparar enquanto é tempo. :) 
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e A maioria dos tipos de arquivo possui um “magic number” 
para identificação, localizado logo nos primeiros bytes. 


e A ferramenta file [2] está presente em todas as distribuições 
GNU/Linux. Ela utiliza a biblioteca libmagic como “core” para 
reconhecer tipos de arquivo. 


S file /etc@i@ses 
/etc/hosts: Mt 


S file /bim ls 

/bin/ls: ELF 64-bit LSB executable, x86-64, 
version 1 (SYSV), dynamically linked (uses 
shared libs), for GNU/Linux 2.6.18, stripped 
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e O file não se limita a identificar o tipo de arquivo, mas dá 
várias informações sobre alguns tipos, como é o caso de 
binários ELF. 


e Script do Nautilus “Get info” para agilizar o reconhecimento: 


#!/bin/bash 

info= file "ei" 

ls="ls -1 "g" 

wc='wc "S1i"% 

size="ls -ln I E Sie 


zenity -——- les a E a da do 
we\nSwe\n\n\S ls\nSls" ——title="$1 (Ssize)" 





Busca abusada de strings LIN U SÊ 
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e Graças ao conjunto binutils [3], temos uma ferramenta livre 
chamada strings, que nos exibe todos os textos dentro de um 
arquivo qualquer, inclusive binários. 


S strings /bin/lsg tail 

6H:6M:%S 

%m/%d/%y 

$ Y-Sm-Sd 

invalid suffix in &s%s argument %s' 
invalid %s%s argument &s! 

6S6S argument °%s' too large 
XSCrCOL.C 

O <= strtol base && strtol base <= 36 
xstrtoul 

xstrtoúmax 
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FREE SOF 


e A análise de strings é extremamente importante. Nela podem 
constar informações essenciais para o malware como nomes 
DNS, caminhos e nomes de diretórios e arquivos etc. 


e Conhecendo esta “falha”, os criadores de malware 
frequentemente encriptam as strings, de forma que uma análise 
estática não ajuda muito: 


S strings -gE -E x binary.exe | tail -4 
180b6 waG (x 
180f6 w52Wx 
18196 vvWx 
18314 ~Ftx 


e Veremos como desencriptar essas strings mais à frente. 
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e O pacote binutils contêm vários aplicativos interessantes para 
a análise de malware, dentre eles: 


e objdump 
e objcopy 

e nm 

e readelf 

e Size 

e strings 

e strip 


e O objdump é uma ferramenta poderosa, que exibe muitas 
informações sobre o binário, como veremos a seguir. As outras 
ferramentas também são muito úteis e ficam como lição de 
casa. ;-) 
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$ objdump -d malware | grep -A30 main 


0000000000400587 <main>: 
400587: push Srbp 


400588: mov Srsp, srbp 
40058b: sub S O xl", SI Sp 


400596: movl D0x27286e2£f,-Que (Srbp 
40059d: movl O Qu 2 Zi Ze2 2 40x8 (Srbp 
4005a4: movw 20x2628, 27 (Sr rbp) 


4005aa: movb SOP Oo ol) 


ADUSSE:s movi. $0x2823326e,-0x10(Srbp) 
) 
) 


4005ae: lea 0x0 TDP), aie eb 
4005b2: mov srax, oi Cal 

4005b5: calla 400534 <decrypt> 
4005ba: lea AMOO Ta 
4005be: mov eel elo Al 

4005c1: calla 400438 <remove@plt> 
400566: mov SOx0, eax 


4005cb: leaveg 
4005cc: retg 
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No slide anterior vemos um disassembly da função main() com 
o objdump. Aqui é importante notar: 


e Os nomes das funções foram identificados, então estão no 
binário compilado. São os symbols. 


e O disassembly é estático. O código não rodou. 

e O grep na main foi proposital, mas a execução de um binário 
não começa na main. Atente para a saída do objdump sem o 
grep e você verá que tem muito código antes da main ser 
chamada. 


e O objdump utliza sintaxe AT&T no disassembly. 
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$ gdb -q malware 

(gdb) set disassembly-flavor intel 

(gdb) disassemble main 
Ox400587 push rbp 
0x400588 mov rbp,rsp 
Ox40058b sub rsp, 0x10 
0x40058f mov DWORD PTR [rbp-0x10],0x2823326e 
0x400596 mov BWORD PIR [rbp 0r] , 0x27286e% 
0x40059d mog DWORD PIR [rbeBS0x8],0x272f2e2P 
0x4005a4 mov WORD PTR [rbp-0x4],0x2628 
0x4005aa mÆ BYTER PE. AA Oo 
0x4005ae lea rax, [rbp-0x10] 
0x4005b2 mov rdi,rax 
0x4005b5 call 0x400534 <decrypt> 
0x4005ba Mea rax, [rbp=0x10] 
0x4005be mov rdi, rax 
0x4005c1 call 0x400438 <remove@plt> 
0x4005c6 mov eax, 0x0 
Ox4005cb leave 
0x4005cc ret 





Binário protegido, e 
agora? 
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Existem muitas formas de proteger o binario de olhares 

curiosos e é claro que o criador de malware não quer ninguém 
bisbilhotando seu arquivo, pois este poderá descobrir como ele 
funciona, criar uma vacina, denunciar para onde os dados são 


enviados etc. 


Uma proteção bem comum é o packer, que comprime um 
executável e dificulta muito a análise. O único packer de código 
aberto que conheço é o UPX [4], por isso vou utilizá-lo em 
nosso malware. 


$ objdump -d malware packed 


malware packed: file format elf64-x86-64 
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Como o UPX é um packer open source, para removê-lo basta 
usar o próprio comando upx: 


$ upx -d malware 


Agora o objdump e outras ferramentas de análise já 
conseguem exibir as informações que buscamos pois O 
executável está em seu estado original. 
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Além dos packers, existe uma série de técnicas para proteção 
de binários, dentre elas: 


e Crypters. 

e Obfuscacáo. 
e Dummy code. 
e Virtualização. 
e CRC. 


Até o presente momento, ferramentas para Linux mais 
rebuscadas para proteção de binários não são comumente 
distribuídas, mas não se sabe o que há de ferramentas 
fechadas/individuais por aí. ;-) 





Rastreando os passos 
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Aqui abordaremos a análise dinámica, ou seja, vamos rodar o 
malware, passo-a-passo, num ambiente controlado, para 
identificar seu comportamento. Para isso, será usado um 
poderoso debugger e disassembler livre, o EDB [5]. 


e Ao abrir o malware no EDB, paramos em seu início (não é a 
main, lembra”). 


* Podemos buscar strings direto pelo EDB, caso ainda não 
tenhamos feito com o strings. Para isso, basta um CTRL+S, 
que vai carregar o plugin String Search. 








Começando do começo 


= 


= String Search [x] 
Regions To Search: 


Filter: 





0000000000500000 | 0000000000601000 | rw- ¿home/fernan... 
DO007TT7LS2dc000 |000O7TT7LS2Fb000 |r-x flub/s1d-2. 13.. 


00007ff7bs4fbooo |00007ff7bs4fdooo | rw- flubs1d-2. 13_ 


pd 





Results: 

000000000040033a: strlen 
0000000000400341: remove 
0000000000400348: _— libe start main 
000000000040035a: GLIBC 2.2.5 
0000000000400504: FFF. 
0000000000400592: n28( 


0000000000400599: 





Entendendo as calls 


FREE SOFTWARE SOLUTIONS 


O EDB já coloca um breakpoint na main automaticamente. Para 
conferir, veja a tela do Breakpoint Manager (CTRL+B): 


Breakpoint Manager 















































x 
Address | aliia | Original Byte | Type | Function || Add Breakpoint | 
0000000000400587 = EE dd SE 
| N | Set Breakpoint c ondition 














Close 
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Podemos mandar rodar o malware no EDB (F9) e aguardar 
parar no início da funcáo principal entáo. Isto vocé pode fazer 


sem medo, náo? 
Podemos executar linha a linha com o F8 e em 0x4005ae, 


vemos que o endereço de uma string interessante é 
armazenada em RAX: 


[E] 
[sel 








| Registers 


L 








l OD General Purpose IO 
RAX: 000O7fffldb3f6d0 ASCII "n2#(/n('\"./'(&" 
REX: G0G0000000000000 
RA AAAAAAAAAAAAAARIM 


























Entendendo as calls ALINUAX 
Logo abaixo temos uma bendita CALL. Mas o que é isso? 


e Qualquer chamada para função gera uma CALL em Assembly. 


e O código é desviado para o endereço apontado pea CALL e, 


após um RET, volta para a instrução logo abaixo à chamada da 
CALL. 


e Os parâmetros de função são passados para a CALL através 
da pilha (stack). 


e O retorno pode variar, mais geralmente é dado em RAX. 
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FREE SOFTWARE SOLUTIONS 
00000000: 004005ae |48 8d 45 fO lea rax, [rbp-16] 
00000000: 004005b2|48 89 c7 mov rdi, rax 

$ 00000000: 004005b5|e8 7a ff ff ff call 0x0000000000400534 
00000000: 004005ba |48 Bd 45 TO lea rax, [rbp-16] 


e A execução será desviada para a instrução em 0x400534 e os 
parámetros podem ser vistos na janela “Stack” do EDB. 


: Stack [x] 


J 






































|00007fff: G05laefO|27286e2f2823326e |n2#( /n| ' 
100007TTT: GOSlae TS |00002628272f2e22|". /' (6... 
100007TTTf: GOSlatT oo |0000000000000000 
JOoooT TTT: G05laf0B|00007fd4c2c7eead|-iÇÃO... [return to 00007fd4c2c7eead <libc-2.13.50:: 
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Já as sycalls sáo chamadas as rotinas providas pelo SO, por 
exemplo, para imprimir uma string na tela. 


e Alguns exemplos são: setuid(), exit() e fork(). 


e Podem ser utilizadas diretamente pelo malware, já que este 
ficará preso à arquitetura (não é comum malware portável :). 


e Existem uma tabela do tipo QR-card com todas as syscalls do 
Linux [6]. O site original [7] estava for a dor ar (403) no dia em 
que escrevi este slide. 
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FREE 5 


e Quando o binário nao tem os symbols, o objdump, readelf, hte 
e nem mesmo o gdb sáo capazes de exibir o nome da funcáo 
em questão, o que é um problema. Já o EDB, consegue pois é 
possível gerar symbols para cada biblioteca presente. 


e Importante notar que funções ANSI C são wrappers para 
syscalls. 














Função ANSI C syscall 



































Exemplo: remove() unlink() 
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Documentar o comportamento de um binário é um trabalho 
demorado, porém de máxima utilidade. As vantagens são: 


e Rollback de ações. 
e Criação de vacinas. 


e Aprendizado. 


e Massagem no ego. :) 
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e Empresas de anti-vírus. 
* Grupos de resposta a incidentes. 


e Órgãos públicos e militares. 
e Times de segurança de empresas privadas. 
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Fonte do pseudo-malware GLEN 


void decrypt (char s[]) 
{ 


int i; 
for (i=0; i<strlen(s); i++) 
s[i] ^= 0x41; 
l 
int main () 
{ 
Tie. dg Jy 
/* Tenta renigver "solo T e e 
char arg[] SC 
decrypt (arq); 
remove (ara); 


return O; 


} 
NOTA: Para o UPX comprimir esse codigo foi acrescido com 


várias funções inúteis. 
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Perguntas? 





@MenteBinaria 
www.mentebinaria.com.br 








Muito obrigado! 
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